EBA-Folgebericht: Fortschritte bei IKT-Risikoaufsicht unter DORA – weitere Harmonisierung nötig

EBA zieht Bilanz zur IKT-Risikoaufsicht: Behörden auf Kurs, Lücken bleiben

Die Europäische Bankenaufsichtsbehörde (EBA) hat einen Folgebericht zu ihrem Peer-Review von 2022 über die Bewertung von IKT-Risiken im Rahmen des aufsichtlichen Überprüfungs- und Bewertungsprozesses (SREP) veröffentlicht. Das Dokument attestiert den nationalen Aufsichtsbehörden messbare Fortschritte, verweist aber zugleich auf anhaltenden Handlungsbedarf hinsichtlich einer einheitlichen Aufsichtspraxis innerhalb der Europäischen Union.

Als zentraler Treiber der Verbesserungen gilt die Anwendung des Gesetzes über die digitale operative Widerstandsfähigkeit (DORA), das seit Januar 2025 verbindlich gilt. Die Behörden haben demnach ihre Kapazitäten und ihr fachliches Know-how im Bereich IKT-Aufsicht ausgebaut, setzen horizontale Analysen häufiger ein und wenden Aufsichtsinstrumente zunehmend systematisch an. Auch bei der Verwendung von IKT-Risiko-Unterkategorien sind Fortschritte erkennbar: Diese werden inzwischen von nahezu allen zuständigen Stellen weitgehend genutzt.

Im Rahmen der Folgebewertung prüfte die EBA, inwieweit die 2022 ausgesprochenen Empfehlungen umgesetzt wurden. Dazu gehörten neben gezielten Benchmarking-Fragen auch die bevorstehende Eingliederung der IKT-SREP-Leitlinien in die überarbeiteten allgemeinen SREP-Leitlinien – eine der Kernempfehlungen des Ausgangsberichts. Die Analyse stützte sich vorrangig auf begleitende Arbeiten zur aufsichtlichen Konvergenz.

Der Bericht richtet klare Erwartungen an die zuständigen Behörden: IKT-Risikomethoden und die entsprechenden Unterkategorien sollen vollständig in die regulären Aufsichtsprozesse eingebettet werden. Zudem hält die EBA dazu an, die Bemühungen um eine stärkere Konvergenz und eine robustere operative Widerstandsfähigkeit im gesamten EU-Raum fortzusetzen.

Rechtliche Grundlage für den Folgebericht ist Artikel 30 der EBA-Verordnung (EU) Nr. 1093/2010. Demnach ist der Überprüfungsausschuss verpflichtet, zwei Jahre nach Veröffentlichung eines Peer-Reviews einen Folgebericht zu erstellen und dem Aufsichtsrat vorzulegen. Inhalt dieser Bewertung ist unter anderem die Frage, ob und in welchem Umfang die betroffenen Behörden die empfohlenen Maßnahmen tatsächlich ergriffen haben.

Ähnliche Themen:

ISACA veröffentlicht Leitfaden zu NIS2 und DORA: Orientierungshilfe für Europas Unternehmen

Mehr Gesetze, mehr Druck: Was bei NIS2, CRA, DORA & Co. am Ende zählt

Bild/Quelle: https://depositphotos.com/de/home.html

Folgen Sie uns auf X

Folgen Sie uns auf Bluesky

Folgen Sie uns auf Mastodon

Hamsterrad Rebell – Cyber Talk